Ровно как и не запускаются сами антивирусы. АВЗ, Нод, HijackThis открываются на мгновенье и тут же вырубаются. КюрИт не нашел ничего.
Логи, к сожалению, не могу добавить, вирус мешает.
Ровно как и не запускаются сами антивирусы. АВЗ, Нод, HijackThis открываются на мгновенье и тут же вырубаются. КюрИт не нашел ничего.
Логи, к сожалению, не могу добавить, вирус мешает.
Последний раз редактировалось von_Liebermann; 16.09.2010 в 19:11.
- сделайте лог Combofix
ComboFix
Добавил логи, прочитал в соседней теме, что можно снять процесс експлорер.exe и тогда запустить АВЗ.
C:\WINDOWS\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: C:\WINDOWS\system32\czpobq.exe C:\WINDOWS\system32\e662f223.exe C:\Program Files\Common Files\jqyrg4inedzz13m Driver:: Folder:: C:\Program Files\Common Files\f8911261 Registry:: FileLook:: DirLook::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Смените все пароли
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
В воскресенье всё сделал, но комбофикс повис на третьем этапе чего-то там, поэтому отчета нет. Сегодня утром проблемы не было, но сейчас либо снова тот же, либо похожий вирус.
Симптомы те же.
Стандартные логи прилагаются, делал выключением експлорер.ехе в диспетчере и route -f для доступа к сайту.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','UserInit', GetEnvironmentVariable ('WinDir')+'\System32\userinit.exe,'); QuarantineFile('C:\WINDOWS\system32\uklcbs.exe',''); QuarantineFile('C:\WINDOWS\system32\f433194c.exe',''); QuarantineFile('C:\WINDOWS\system32\e662f223.exe',''); QuarantineFile('C:\Documents and Settings\Павел\Application Data\Abnoow\obdae.exe',''); QuarantineFile('C:\WINDOWS\TEMP\gkkcln.sys',''); DeleteService('rqrojkhd'); DeleteFile('C:\WINDOWS\TEMP\gkkcln.sys'); DeleteFile('C:\WINDOWS\system32\e662f223.exe'); DeleteFile('C:\WINDOWS\system32\f433194c.exe'); DeleteFile('C:\WINDOWS\system32\uklcbs.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(20); ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)
- Скачайте RSIT тут. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
Извините, за восстановление. Всегда было выключено, перед первой проверкой проверял тоже..
Проблемы нет пока что. Карантин отослал
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteFile('C:\Documents and Settings\Павел\Application Data\Abnoow\obdae.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{5478339F-2050-D781-4551-706B43679AA1}'); DeleteFileMask('C:\Program Files\Common Files\f8911261', '*.*', true); DeleteDirectory('C:\Program Files\Common Files\f8911261'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
сделал
В логе чисто.Что с проблемой?
Пока все хорошо. Спасибо!
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\павел\\application data\\abnoow\\obdae.exe - Trojan-Spy.Win32.Zbot.aoqs ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Variant.Kazy.15094, NOD32: Win32/Spy.Zbot.ZR trojan, AVAST4: Win32:Spyware-gen [Spy] )
- c:\\windows\\system32\\f433194c.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, NOD32: Win32/Spy.Shiz.NAI trojan, AVAST4: Win32:MalOb-DS [Cryp] )
- c:\\windows\\system32\\uklcbs.exe - Packed.Win32.Krap.hr ( DrWEB: Trojan.Packed.20771, BitDefender: Gen:Heur.FKP.1, AVAST4: Win32:MalOb-DS [Cryp] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) von_Liebermann, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.